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Computerschadprogramm stuxnet 


Vorbemerkung der Fragesteller 

Aktuelle Medienberichte thematisieren ein Computerschadprogramm namens 
„stuxnet“, das vor allem eine Software der Firma Siemens zur Steuerung von 
industriellen Großanlagen, insbesondere von Kraftwerken, infizieren und damit 
deren Funktion schwer beeinträchtigen können soll. 

Computerexperten/-innen stellten fest, dass es sich um ein neuartiges Schad- 
programm handelt, das mit erheblichem Aufwand programmiert und in Umlauf 
gebracht worden ist. 

Angesichts der Komplexität des Schadprogramms und der Art der Verbreitung 
- wohl zuerst im Iran - gehen Computerexperten/-innen davon aus, dass dieses 
Programm nicht von privaten Hackern, sondern von einer Regierungsbehörde 
entwickelt wurde mit dem Ziel, das Atomprogramm des Iran zu behindern. 

Am I. Oktober 2010 berichtet die „Süddeutsche Zeitung“, dass laut dem neuen 
strategischen Konzept der NATO künftig auch bei Attacken mittels Computer- 
programmen der Bündnisfall eintreten soll. 


1. Seit wann weiß die Bundesregierung von dem Stuxnet-Programm, und 
welche Erkenntnisse hat die Bundesregierung über Herkunft, Verbreitung 
und Schadenswirkung des Stuxnet-Programms seitdem gesammelt? 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seit dem 
14. Juli 2010 Kenntnis von dem Schadprogramm. Zur Herkunft liegen keine 
Erkenntnisse vor. Die Informationen zur Verbreitung und Schadenswirkung 
decken sich mit den Veröffentlichungen in der Presse, in erster Linie scheinen 
Iran, Indien und Indonesien betroffen zu sein. Konkrete Schadenswirkungs- 
meldungen liegen dem BSI nicht vor. 


Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums für Umwelt, Naturschutz und 
Reaktorsicherheit vom 21. Oktober 2010 übermittelt. 

Die Drucksache enthält zusätzlich - in kleinerer Schrifttype - den Fragetext. 
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2. Welche Risiken für die Bevölkerung und die Umwelt könnten nach Ein- 
schätzung der Bundesregierung entstehen, wenn durch ein solches Schad- 
programm die Funktionsweise von Atomkraftwerken oder anderen Atom- 
anlagen beeinträchtigt würde? 

Eine Gefahr für die Sicherheit von deutschen Kernkraftwerken ist derzeit nicht 
zu erkennen. In einem Kernkraftwerk verhindert das Reaktorschutzsystem eine 
Schädigung des Reaktorkerns, weim es zu einem Störfall kommen sollte. Dieses 
System benötigt keine Computersteuerang, sondern basiert auf Analogtechnik. 
Diese Technik kommt ohne Software aus und kaim daher auch nicht direkt von 
Schadsoftware wie Stuxnet beeinflusst werden. 

Im Bereich der Steuerung der Reaktorleistung werden in deutschen Kernkraft- 
werken auch programmierbare computergesteuerte Steuersysteme eingesetzt. 
Zwar kaim nicht ausgeschlossen werden, dass dieser Bereich im Gegensatz zum 
oben beschriebenen Reaktorschutzsystem von Schadsoftware befallen wird. Das 
Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit (BMU) hat 
jedoch derzeit keinen konkreten Verdacht, dass Stuxnet oder andere Software 
auf eine Schädigung deutscher Kernkraftwerke zielt. Außerdem besteht derzeit 
kein durch Tatsachen erhärteter Verdacht, dass Schadsoftware in der Lage wäre, 
in der Störfallauslegung deutscher Kernkraftwerke nicht berücksichtigte und 
demnach möglicherweise nicht beherrschte Ereignisse auszulösen. Schließlich 
kaim davon ausgegangen werden, dass das Reaktorschutzsystem den hypotheti- 
schen Fall eines von einer eingedrungenen Schadsoftware ausgelösten Störfalls 
auslegungsgemäß beherrscht. 


3. Ergeben sich aus Sicht der Bundesregierung aus diesem Schadprogramm 
oder eventuellen Modifikationen Sicherheitsrisiken in Deutschland? 

Schadprogramme beeinflussen die Vertraulichkeit, Verfügbarkeit und Integrität 
von IT-Systemen und stellen daher grundsätzlich ein Sicherheitsrisiko dar, dem 
mit geeigneten Maßnahmen zu begegnen ist. Konkrete Hinweise auf erhöhte 
Sicherheitsrisiken in Deutschland liegen bisher nicht vor. 


4. Welche deutschen Atomkraftwerke (AKW) und welche Einrichtungen mit 
Forschungsreaktoren nutzen die durch das Stuxnet-Schadprogramm ange- 
griffene Siemens-Software? 

5. Welche der in Frage 4 bezuggenommenen AKW befinden sich derzeit im 
regulären Netzbetrieb? 

Eine anlagenspezifische Aufschlüsselung liegt der Bundesregierung noch nicht 
vollständig vor. ln den Sicherheitssystemen der deutschen Kernkraftwerke und 
der Einrichtungen mit Forschungsreaktoren wird die durch das Schadprogramm 
Stuxnet angreifbare IT-Kombination nicht eingesetzt. 


6. Werden deutsche Atomanlagen in ähnlichen Konfigurationen betrieben, wie 
die betroffenen Anlagen im Iran? 

Die für einen Vergleich notwendigen Informationen über die Konfiguration der 
im Iran betriebenen Kemanlagen liegen der Bundesregierung nicht vor. 
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7. Welche deutschen AKW und welche Einrichtungen mit Forschungsreak- 
toren sind vom Befall ihrer Rechner durch das Schadprogramm „stuxnet“ 
betroffen? 

8. Welche deutschen AKW und welche Einrichtungen mit Forschungsreak- 
toren sind vom Befall ihrer Rechner durch andere Schadprogramme betrof- 
fen oder betroffen gewesen? 

Nach Auskunft der zuständigen atomrechtlichen Aufsichtsbehörden der Länder 
ist kein Befall durch Schadprogramme bekannt. 


9. Welche Maßnahmen hat das Bundesamt für Sicherheit in der Informations- 
technik ergriffen, um möglichen Schäden durch die Auswirkungen von 
„stuxnet“ zu begegnen? 

Nach § 3 Absatz 1 Nummer 2 BSIG sammelt und wertet das BSI Informationen 
über Sicherheitsrisiken und Sicherheitsvorkehrungen aus und stellt die gewon- 
nenen Erkenntnisse zur technischen Prävention und Reaktion zur Verfügung. 
Das BSI hat eine Reihe von Maßnahmen zur Abwehr von Stuxnet ergriffen. Zur 
Prävention von Stuxnet-Infektionen wurden verschiedene Hilfe-Dokumente er- 
stellt, die im Rahmen des Umsetzungsplans(UP)-Bund an die Bundesverwal- 
tung und im Rahmen des UP-Kritis an kritische Infrastrukturen verteilt wurden. 
Weiterhin wurde der Kontakt zu Siemens aufgenommen und eine Zusammenar- 
beit bei der Analyse initiiert. Ergänzend wurden eigene Analysen des Stuxnet- 
Programms vorgenommen. Darüber hinaus stellt das BSI öffentlich Detektions- 
empfehlungen zur Verfügung. Im Vorfall Stuxnet hat das BSI die Funktion der 
zentralen Informationsstelle übernommen und steht auch weiterhin mit nationa- 
len und internationalen Partnern im Kontakt. 


10. Welche weiteren Maßnahmen haben die Bundesregierung und das Bundes- 
amt für Sicherheit in der Infonnationstechnik bisher konkret ergriffen, um 
Cyberwar- Angriffe auf Atomkraftwerke und Forschungsreaktoren oder 
ähnliche Hochrisikoanlagen auszuschließen? 

Das BSI stellt mit seinen Standards und Empfehlungen grundsätzliche Hilfsmit- 
tel zur Verfügung, um IT- Systeme unabhängig von ihrem Einsatz adäquat gegen 
IT-Risiken zu schützen. Bei Umsetzung der entsprechenden Maßnahmen wird 
ein Schutz gegen IT-Angriffe erzielt. Weitere Maßnahmen für Kernkraftwerke 
und Einrichtungen mit Forschungsreaktoren können erst nach umfangreicher 
Analyse festgelegt werden. 


11. Welche Art von Monitoring, Auswertung oder Berichterstattung über 
Angriffe durch Schadprogramme auf Rechner deutscher AKW und Ein- 
richtungen mit Forschungsreaktoren gibt es? 

Zusätzlich zu den gegen IT-Angriffe spezifischen Vorkehrungen in den deut- 
schen Kernkraftwerken und den Einrichtungen mit Forschungsreaktoren sowie 
dem betreiberintemen Informations- und Erfahrungsaustausch sind nach der 
Atomrechtlichen Sicherheitsbeauftragten- und Meldeverordnung (AtSMV) Un- 
fälle, Störfälle und sonstige sicherheitstechnisch bedeutsame Ereignisse (melde- 
pflichtige Ereignisse) generell den atomrechtlichen Aufsichtsbehörden der Län- 
der zu melden, die diese Meldungen an das BMU weiterleiten. 

Das BMU prüft die Übertragbarkeit von sicherheitsrelevanten Erkenntnissen auf 
(andere) deutsche Kernkraftwerke und Einrichtungen mit Forschungsreaktoren. 
Im Bedarfsfall, wie im Fall Stuxnet bereits geschehen, sorgt das BMU für eine 
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Übermittlung sicherheitsrelevanter Informationen und Empfehlungen an die Be- 
treiber, atomrechtlichen Aufsichtsbehörden und Sachverständigenorganisatio- 
nen, insbesondere in Form sogenannter Weiterleitungsnachrichten der Gesell- 
schaft für Anlagen- und Reaktorsicherheit. Die Weiterleitungsnachrichten 
enthalten eine Beschreibung des Sachverhalts, die Ergebnisse der Ursachenana- 
lyse, die Bewertung der sicherheitstechnischen Bedeutung, die vom Betreiber 
ergriffenen oder vorgesehenen Maßnahmen und als wesentliches Element Emp- 
fehlungen zu Überprüfungen und gegebenenfalls Ergreifung von Abhilfemaß- 
nahmen in anderen Anlagen. Die Betreiber erstellen zu jeder Weiterleitungs- 
nachricht eine Stellungnahme für die jeweilige Aufsichtsbehörde, wobei 
insbesondere auf die Umsetzung der Empfehlungen einzugehen ist. 

Die Auswertung und Bewertung derartiger Erkeimtnisse und der erforderlichen 
Maßnahmen erfolgt durch die atomrechtlichen Aufsichtsbehörden und deren 
hinzugezogenen Sachverständigen. 


12. Sind die für die Steuerang eines Reaktors relevanten Steueranlagen und 
Regelkreise in deutschen AKW und Einrichtungen mit Forschungsreak- 
toren physikalisch von öffentlichen Datennetzwerken getrennt? 

Nach Aussage der atomrechtlichen Aufsichtsbehörden der Länder ist ein Zugriff 
auf die für den Betrieb der deutschen Kernkraftwerke und Einrichtungen mit 
Forschungsreaktoren relevanten Steueranlagen aus öffentlichen Datennetz- 
werken heraus ausgeschlossen. 


13. Zieht die Bundesregierung in Erwägung, den Befall von für die Steuerung 
deutscher AKW oder Einrichtungen mit Forschungsreaktoren relevanten 
Rechnern mit Schadsoftware als meldepfhchtiges Ereignis in die Atom- 
rechtliche Sicherheitsbeauftragten- und Meldeverordnung aufzunehmen, 
und weim nein, warum nicht? 

Die AtSMV enthält mit dem Kriterium N 2.1.2 bereits ein für solche Fälle her- 
anzuziehendes Meldekriterium. 


14. Welche anderweitigen Bestrebungen hat die Bundesregierung, die Reak- 
torsicherheit zukünftig bezüglich des Befalls von für die Steuerung von 
Nuklearreaktoren relevanten Rechnern mit Schadsoftware zu gewähr- 
leisten? 

Auf die Antwort zu Frage 10 wird verwiesen. 


15. Welche Maßnahmen sind bei den zuständigen Landesbehörden im Falle 
eines durch den Betreiber des AKW oder den Hersteller einer darin ver- 
wendeten Steueranlage verschuldeten Schadens durch einen Angriff durch 
Schadprogramme vorgesehen? 

Unregelmäßigkeiten beim Betrieb von Kernkraftwerken oder Forschungs- 
reaktoren werden durch die atomrechtlichen Aufsichtsbehörden der Länder 
gegebenenfalls unter Flinzuziehung von Sachverständigen geprüft und die er- 
forderlichen Maßnahmen überwacht und durchgesetzt. Soweit sich hierbei 
Anhaltspunkte für eine Ordnungswidrigkeit oder Straftat ergäben, würden diese 
entsprechend den gesetzlichen Vorschriften von den zuständigen Landesbehör- 
den verfolgt. 
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Für Drittschäden, die durch ein nukleares Ereignis in einer Kernanlage verur- 
sacht werden, haftet ausschließlich der Betreiber der Anlage gemäß Pariser Über- 
einkommen in Verbindung mit § 25 ff. des Atomgesetzes (AtG). Diese Flaftung 
setzt ein Verschulden des Betreibers nicht voraus (sogenannte Gefährdungshaf- 
tung). Sie ist grundsätzlich in der Summe unbegrenzt (§31 Absatz 1 AtG). 


16. Teilt die Bundesregiemng die Auffassung der Fragestellerinnen und Frage- 
steller, nach der Atomkraftwerke aufgrund der niemals auszuschließenden 
Anfälligkeit für Hacking- Angriffe grundsätzlich nicht als sicher bezeichnet 
werden körmen, und wenn nein, warum nicht? 

Auf die Antwort zu Frage 2 wird verwiesen. 


17. Verfugt die Bundesregierang über Erkenntnisse, dass das Schadprogramm 
in Deutschland bereits wirtschaftliche Schäden hervorgerafen hat, und 
wetm ja, wie hoch sind diese Schäden in Euro? 

Flierzu liegen der Bundesregierung keine Erkenntnisse vor. 


18. Wie bewertet die Bundesregierung aus völkerrechtlicher Sicht die Ent- 
wicklung und den Einsatz von Schadsoftware durch staatliche Behörden? 

Nach Ansicht der Bundesregierung sind Entwicklung und Einsatz von Schad- 
software nur unter Beachtung der einschlägigen Regeln des Völkerrechts, ins- 
besondere der Charta der Vereinten Nationen, des Flumanitären Völkerrechts 
und der Grundsätze der Staatenverantwortlichkeit, zulässig. 


19. Was unternimmt die Bundesregierung, um den staatlichen Einsatz von 
Schadsoftware völkerrechtlieh zu äehten? 

Soweit der staatliche Einsatz von Schadsoftware nicht ohnehin bereits völker- 
rechtlich unzulässig ist (vgl. Antwort zu Frage 18), setzt sich die Bundesregie- 
rung dafür ein, bei den Vereinten Nationen und geeigneten Regionalorganisati- 
onen internationale Verhaltensregeln zu entwickeln mit dem Ziel, eine Kultur 
der Zurückhaltung zu schaffen, die sich im Wesentlichen neben der Konkretisie- 
rung völkerrechtlicher Verbote auch durch Selbstbeschränkungserklärungen der 
Staaten manifestiert. 


20. Kann die Bundesregierung ausschließen, dass von deutschen Militärs 
oder Geheimdiensten Schadsoftware gegen Ziele im Ausland angewandt 
wird? 

21. Entwickelt die Bundesregierung Schadsoftware für den Einsatz im Aus- 
land, welche privaten und öffentlichen Einrichtungen sind daran beteiligt, 
und wie hoch waren dafür die jährlichen Kosten seit dem Jahr 2000 (bitte 
einzeln aufschlüsseln)? 

Weder wird innerhalb der Bundeswehr Schadsoftware entwickelt noch wurde und 
wird von der Bundeswehr Schadsoftware gegen Ziele im Ausland angewendet. 

Die Entwicklung und der Einsatz von Schadsoftware, welche die Leistungs- und 
Funktionsfähigkeit von Computersystemen im Sinne der Anfrage beeinträchtigt, 
gehört nicht zum gesetzlichen Auftrag des Bundesnachrichtendienst (BND) und 
werden daher auch nicht durchgeführt. 
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22. Wie steht die Bundesregierung zu den Planungen der NATO, auch auf 
Computerattacken künftig den Bündnisfall erklären zu können? 

Es ist nicht auszuschließen, dass sich das Bündnis in Zukunft auch mit 
Computerangriffen befassen wird. Die Reaktion des Bündnisses auf jede Art 
von Angriff wird im Konsens von allen NATO-Mitgliedstaaten im Lichte der 
konkreten Umstände gefasst. 


23. Zieht die Bundesregierung die Ausmfung des Bündnisfalls im Falle von 
„stuxnet“ in Erwägung, falls deutsche Anlagen beeinträchtigt werden (bitte 
begründen)? 

Wie stellt sich die Bundesregierung einen militärischen Einsatz zur Ab- 
wehr einer Cyber- Attacke auf Deutschland oder ein NATO-Land vor? 

Der Bündnisfall wird im Konsens von allen NATO-Mitgliedstaaten ausgerafen. 
Insofern kann die Bundesregierung den Bündnisfall nicht ausrufen. Die Frage 
nach einem militärischen Einsatz zur Abwehr einer Cyber- Attacke auf Deutsch- 
land oder eines anderen NATO-Mitglieds stellt sich nicht. 


24. Gegen wen würden sich - angesichts der Schwierigkeiten, den oder die 
Angreifer und auch das Ziel des Angriffs konkret zu benermen - Vergel- 
tungsmaßnahmen als Reaktion auf eine Cyber-Attacke nach Auffassung 
der Bundesregiemng richten? 

Welche Art von Vergeltungsmaßnahmen kämen in Frage? 

Welche militärischen Mittel kämen bei einer Abwehr von Cyber- Attacken 
zum Einsatz? 

Auf die Antwort zu Frage 23 wird verwiesen. 


25. Welche Forschungs- imd Entwicklungsvorhaben für Computerschad- 
programme wurden seit 2005 von der Bundesregierang bzw. den einzelnen 
Ministerien und Behörden finanziert (bitte mit den jeweiligen Förder- 
summen aufiisten)? 

Die Bundesregierang fördert keine Vorhaben, die sich mit der Entwicklung von 
Computerschadprogrammen oder Forschung zur Vorbereitung einer solchen 
Entwicklung befassen. 


26. Welche Behörden sind mit der Untersuchung und Risikoanalyse des 
Stuxnet-Programms beauftragt? 

27. Welche Ministerien bzw. Bundesbehörden beschäftigen sich derzeit mit 
dem Themenkomplex Cyberwar? 

Alle Sicherheitsbehörden des Bundes beschäftigen sich im Rahmen ihrer 
jeweiligen Zuständigkeiten mit der Problematik und arbeiten insoweit auch eng 
zusammen. 
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